思科路由器恶意后门惊现
国外媒体报道称,最近关于攻击思科系统路由器的事件相较过去又多了很多。据说目前 19 个国家至少 79 台设备受到安全威胁影响,其中还包括了美国的一家 ISP 网络服务提供商,旗下 25 台设备都存在恶意后门。
这次的调查结果来自一个计算机科学家团队,他们挖掘了整个 IPv4 地址空间中受影响的设备。根据 Ars 本周二的报道,在收到一系列非正常不兼容的网络数据包,以及硬编码密码之后,所谓的 SYNful Knock 路由器植入就会激活。通过仅发送序列错乱的 TCP 包,而非密码至每个地址,监控回应,研究人员就能检测到设备是否受到了该后门的影响。
安全公司 FireEye 本周二首度报道了 SYNful Knock 的爆发,这种植入程序在尺寸上和正常的思科路由器映像完全相同,在路由器重启之后每次都会加载。攻击者能够利用它锁定特定目标。FireEye 已经在印度、墨西哥、菲律宾、乌克兰的 14 台服务器上发现了这种植入程序。这对整个安全界来说都是重大事件,这也就意味着这种攻击处在激活状态。最新的研究显示,其扩张范围已经相当广泛,美国、加拿大、英国、德国和中国均已存在。
